COBIT
Conteúdo
• Governança de TI;
• Introdução ao COBIT;
• Objetivos de Controle;
• Diretrizes de Gerenciamento;
• Produtos do ITGI;
• Exercícios;
• Bibliografia
Governança deTI
PRINCIPAIS DESAFIOS DA TI
• Promover alinhamento entre TI e negócio;
• Reduzir os custos da TI;
• Gerenciar a complexidade da TI;
• Proporcionar segurança da informação;
• Aumentar a qualidade dos serviços;
Governança deTI
O QUE É GOVERNANÇA DE TI?
É um conjunto de estruturas e processos que
visa
garantir que a TI suporte e maximize
adequadamente os objetivos e estratégias de
negócio da organização, adicionando valores aos
serviços entregues, balanceando os riscos e
obtendo o retorno sobre os investimentos em TI.
O conselho de administração e os executivos são
responsáveis pela Governança de TI.
Governança deTI
STAKEHOLDERS NA GOVERNANÇA DE TI
São pessoas ou elementos relacionados com
as operações de TI, como:
•Fornecedores;
•Usuários;
•Órgãos públicos;
•Governo;
Governança deTI
ÁREAS DE FOCO DA GOVERNANÇA DE TI
1.
Alinhamento
Estratégico:
Alinhando TI com o negócio e
fornecendo soluções colaborativas.
2. Entrega de Valor: Executando
a proposição de valor através do
ciclo de entrega.
3. Gerenciamento de Riscos:
Gerenciando riscos de TI, impactos
das
mudanças,
segurança,conformidade.
4. Gerenciamento de Recursos:
Otimizando o desenvolvimento e o
uso de recursos disponíveis.
5.Monitoramento
do
Desempenho: Monitoramento dos
Governança deTI
GERENCIAMENTO DE RISCOS
Os riscos são gerenciados de quatro formas:
Mitigando riscos: Implementar controles que
protejam contra riscos. Ex: Implementação de um
firewall de segurança.
Transferindo riscos: Compartilhar riscos com
parceiros ou contratar seguro apropriado.
Aceitando riscos: Confirmar e monitorar riscos, e
Governança deTI
CARACTERÍSTICAS NECESSÁRIAS EM UM
FRAMEWORK DE CONTROLE
Um framework de controle de TI deve conter as
seguintes características:
• Foco no negócio;
• Orientação a processo;
• Padrão aceito;
• Linguagem comum;
• Requisitos regulatórios.
Governança deTI
BENEFÍCIOS DA GOVERNANÇA DE TI
•Confiança da alta administração;
•TI mais comprometida com o negócio;
•Maior ROI (Retorno sobre o Investimento);
•Serviços mais confiáveis;
Introdução ao COBIT
COBIT=
Control Objectives for Information and related
Technology (Controle de Objetivos para Informações relativas à
Tecnologia)
•É um framework e uma base de conhecimento para os
processos de TI e seu gerenciamento;
•Não é um padrão definitivo – deve ser adaptado para cada
empresa;
•É um framework de controle que tem o propósito de
assegurar
que os recursos de TI estarão alinhados com os objetivos da
organização;
•É baseado na premissa de que a
TI precisa entregar informação
que a empresa necessita para atingir seus objetivos;
•O princípio do framework COBIT é o de
prover um link entre as
expectativas e as responsabilidades de gerenciamento de TI, com o
objetivo de facilitar que a Governança de TI agregue valor à TI
enquanto gerencia riscos;
Introdução ao COBIT
MISSÃO DO COBIT
Pesquisar, desenvolver, publicar e promover um
conjunto de objetivos de controle para tecnologia
que seja embasado, atual, internacional e aceito
em geral para uso no dia-a-dia de gerentes de
Introdução ao COBIT
O COBIT ATENDE AOS 5 REQUISITOS DE UM
FRAMEWORK DE CONTROLE
•Define uma linguagem comum para TI e
negócio;
•Ajuda
a
atender
aos
requisitos
regulatórios;
•É um padrão aceito entre empresas;
•É orientado a processos;
Introdução ao COBIT
COMPONENTES DO COBIT
PROCESSOS DE TI
São 4 Domínios e 34
Processos de TI:
1- Planejamento e Organização;
2- Aquisição e Implementação;
3 – Entrega e Suporte;
Introdução ao COBIT
CRITÉRIOS DE INFORMAÇÃO
Para satisfazer os objetivos de negócio as informações precisam estar em
conformidade com os critérios chamados Requisitos de Negócio. São
eles:
• Requisitos de Qualidade
Qualidade
Custo
Entrega
• Requisitos Fiduciários (Relatório do COSO)
Eficácia e eficiência das operações
Confiabilidade das informações
Conformidade com leis e regulamentos
• Requisitos de Segurança
Introdução ao COBIT
O COBIT mapeia os requisitos de negócio para informação em CRITÉRIOS
DE INFORMAÇÃO:
Introdução ao COBIT
Eficácia: ligado com relevância e utilidade da informação.
Eficiência: ligado com otimização de recursos.
Confiabilidade: ligado com informação correta.
Conformidade: relacionado com conformidades a leis e regulamentos.
Confidencialidade: relacionado com proteção e segurança da informação.
Integridade: relacionado com validez da informação.
Introdução ao COBIT
RECURSOS DE TI
• Aplicações: sistemas automatizados e procedimentos
manuais para processar informações.
• Informação: dados de todos os formulários de entrada,
processados e exibidos pelos sistemas de informação,
podendo ser qualquer formulário usado pelo negócio.
• Infraestrutura: inclui hardware, sistemas operacionais,
sistemas de banco de dados, rede, multimídia, etc. É tudo
que seja necessário para o funcionamento das aplicações.
Introdução ao COBIT
COBIT X OUTROS PADRÕES
• O COBIT é compatível com outros padrões – este é um benefício da sua
adoção;
• O COBIT está em um nível mais genérico, portanto pode ser utilizado para
avaliar outros processos implementados por outros frameworks como ITIL e
ISO 17799;
• O COBIT pode ser aplicado depois que outros padrões de nível mais
operacional já estejam aplicados, já que o COBIT vai servir para auditar estes
processos;
• O COSO é um framework para controle de interno e não somente de TI:
pode ser utilizado em qualquer área de negócio. Já o COBIT é específico para
TI – mas está alinhado com o COSO ;
• O COBIT cobre todos os processos da ITIL, entretanto a ITIL é mais
detalhada;
• O COBIT é um framework que diz o que tem ser feito e não se preocupa
em como fazer;
• O COBIT atende aos requisitos regulatórios aos quais a empresa está
submetida, por isto pode ser utilizado para cumprir a conformidade com a
Sarbanes-Oxley;
Objetivos de Controle
Como framework de controle, o COBIT tem 2 focos:
1- Fornecer informações necessárias para suportar
os objetivos e requisitos de negócio;
2- Tratar informações como sendo o resultado
combinado de aplicações de TI e recursos que
precisam ser gerenciados por processos de TI;
Objetivos de Controle
Objetivos de Controle
Planejar e Organizar: (PO)
Usado para que a empresa atinja seus objetivos com o planejamento e
organização da infraestrutura de TI. Possui 10 Objetivos de Controle de Alto
Nível.
Adquirir e Implementar: (AI)
Faz com que a empresa adquira tecnologia dentro dos processos da
empresa. Foca no Plano de Manutenção, para prolongar a vida dos sistemas
de TI. Possui 7 Objetivos de Controle de Alto Nível.
entregar e Dar Suporte: (DS)
Provê a entrega de TI para a organização. Executa as tarefas de TI e dá
suporte à execução. Incluem segurança e treinamento em suas atividades.
Possui 13 Objetivos de Controle de Alto Nível.
Objetivos de Controle
RESUMO DOS PROCESSOS MAIS IMPORTANTES
Domínio Processo Descrição
PO PO9 Assess and Manage IT Risks
Avaliar e gerenciar riscos de TI Cria e mantém um framework de gerenciamento de riscos de TI. Todos os assuntos relacionados a riscos estão envolvidos neste processo.
PO10 Manage Projects
Gerir Projetos Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI.
AI AI4 Enable Operation and Use
Operação Capacitar e Uso
Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produção de documentação e manuais para usuários e TI, e fornece
treinamento aos usuários.
AI6 Manage Changes
Gerenciar mudanças Inclui todas as mudanças, inclusive as mudanças emergenciais relacionadas com a infraestrutura.
DS DS1 Define and Manage Service
Levels
Definir e Gerenciar Níveis de Serviço
Define os níveis de serviços requeridos junto com os clientes, e monitora e emite relatórios para os stakeholders.
DS2 Manage Third-party Services Gerenciar Serviços de Terceiros
Assegura os serviços fornecidos por terceiros para que estes satisfaçam as necessidades do negócio. Envolve-se com
Diretrizes de Gerenciamento
As
diretrizes
de
gerenciamento
fornecem
ferramentas
para
medir
e
comparar
a
capacidade para cada processo de TI.
Metas e métricas:
• Medidas de resultado (outcome measures) ;
• Indicadores de desempenho (performance
indicators);
Diretrizes de Gerenciamento
MÉTRICAS
As diretrizes de gerenciamento especificam medidas de resultado
em forma de OMs (Outcome Measures) e medidas de performance
em forma de PIs (Performance Indicators).
Indicadores
de
performance
(performance
indicators)
Medem como você está fazendo. Também
conhecidos como indicadores de tendência.
Medidas de
resultado
(outcome
measures)
Medem o que você tem feito. Também
conhecidas como indicadores de lag pelo fato
Diretrizes de Gerenciamento
As diretrizes de gerenciamento do COBIT
sugerem utilizar
balanced business scorecards,
os quais fornecem métricas para
alcançar as metas de TI.
Um scorecard tem 4 dimensões que mapeiam metas e
indicadores de performance:
Diretrizes de Gerenciamento
GRÁFICO RACI
Para cada processo é sugerido um gráfico RACI com os responsáveis
por atividade: R-Responsável, A-Encarregado, C-Consultor, I-Informado
Diretrizes de Gerenciamento
MODELOS DE MATURIDADE
Um modelo de maturidade é uma medida que possibilita uma organização a
classificar sua maturidade para determinado processo.
A classificação vai de
inexistente (0) a otimizado (5).
Os modelos de maturidades fazem parte das diretrizes de gerenciamento e
podem ser utilizados para fazer comparações de maturidade com outras
empresas.
0 1 2 3 4 5
Inexistente Inicial Repítivel Definido Gerenciado Otimizado
Legenda para os símbolos Legendas para o ranking
0
Diretrizes de Gerenciamento
Modelo genérico de maturidade
0 Inexistente
Não existem controles.
1 Inicial
Já existem processos, mas não há documentos nem
padrões.
2 Repetível
Processos padronizados, mas falta documentação e
comunicação.
3 Definido
Os processos são formalizados. Existe documentação,
treinamento e comunicação definida.
4 Gerenciado
Processos em aperfeiçoamento já fornecem boas práticas,
mas faltam ferramentas de automação.
5 Otimizado
Os processos já estão refinados a partir das melhores
práticas identificadas. Existe institucionalização das
melhores práticas.
Diretrizes de Gerenciamento
RELACIONAMENTO ENTRE OS RECURSOS DO COBIT
Metas denegócio Metas TI Atividades-chave Testes dos resultados dos controles Objetivos de controle Testes de desenho Práticas de Informação Requisitos Controlado por Derivado de Auditada por Decomposto em Medido por Executada pelo
Pelo desempenho Pela maturidade
Auditado com Implantados com Processos de TI Esta figura mostra como os componentes
do COBIT se inter-relacionam, fornecendo recursos para suportar governança, gestão e controle.
Produtos do ITGI
ITGI( IT Governace Institute)
PRÁTICAS DE CONTROLE:
As práticas de controle de TI fornecem detalhamento sobre como implementar
objetivos de controle.
COBIT ONLINE:
Apresenta informações do COBIT na web. Ele possibilita que vários usuários
naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. É uma área
restrita aos assinantes.
Principais recursos do COBIT Online:
• Download de arquivos PDF
• Benchmarking (para comparar sua empresa com outras)
• Questionários de avaliação
• Comunidade para trocar idéias com outros usuários
IT ASSURANCE GUIDE:
É um guia de validação para profissionais que precisam de orientações para garantir
o funcionamento dos controles internos e melhoria de processos.
Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle,
assegurando que os controles são suficientes e ajudando a documentar seus pontos
fracos.
Produtos do ITGI
O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validação
composta por três estágios: Planejamento, Definição de Escopo e Execução.
Produtos do ITGI
O estágio de execução subdivide-se em 6
etapas:
Produtos do ITGI
COBIT QUICKSTART
É uma versão compacta do COBIT para que a empresa consiga beneficiar-se de seu
uso. É direcionado para empresas de pequeno é médio porte.
IT IMPLEMENTATION GUIDE
É um roadmap para o conselho de administração, a gerência executiva, os
profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de
conformidade.
Produtos do ITGI
COBIT SECURITY BASELINE
O COBIT Security Baseline fornece informações sobre a segurança de uma maneira simples. É um kit de sobrevivência para diretores, executivos, gerentes e usuários profissionais e domésticos. Portanto, não é guia técnico para especialistas em segurança da informação.
VAL IT
O framework do VAL IT é baseado no COBIT. Seus princípios incluem governança de valor, gerenciamento de portfólio e gerenciamento de investimentos.
Princípios do VAL IT:
• Os investimentos habilitados pela TI serão administrados como um portfólio de investimentos
• Os investimentos habilitados pela TI incluirão um escopo completo de atividades que são necessárias para gerar valor ao negócio
• Os investimentos habilitados pela TI serão administrados através de todo o seu ciclo de vida
econômico
• As práticas de entrega de valor reconhecerão que existem diferentes categorias de investimentos, que serão avaliadas e administradas de maneiras diferentes
• As práticas de entrega de valor irão definir e monitorar métricas-chave e responderão rapidamente a quaisquer mudanças ou divergências
• As práticas de entrega de valor devem engajar todos os stakeholders e definir uma prestação de
contas apropriada sobre a entrega de capacidades e obtenção de benefícios de negócio
Exercícios
1- O que significa a sigla COBIT?2- O que é Governança de TI?
3- Quais são as áreas de foco da Governança de TI? 4- Quais são os componentes do COBIT?
5- O que é Requisitos de Negócio para o COBIT e quais seus critérios de informação? 6- Disserte sobre os 3 critérios de informação relacionados à Segurança da Informação.
7- O COBIT trabalha com níveis de maturidade. Relacione quais são e suas responsabilidades. 8- O que fala o processo AI4 Enable Operation and Use :
a) Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI.
b) Define os níveis de serviços requeridos junto com os clientes, e monitora e emite relatórios para os stakeholders.
c) Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produção de documentação e manuais para usuários e TI, e fornece treinamento aos usuários.
Bibliografia
www.itgovernance.orgwww.isaca.org
Implantando a Governança de TI Editora Brasport